MSR830路由器做防火墙，设置指定端口放行，实现外网访问

在开始配置前，请先按图所示调整物理连接：
连接方式：NX54的LAN口---> MSR830的WAN口（如G0/0）---> MSR830的LAN口（如G0/1）---> NAS服务器。
IP地址规划：
MSR830 WAN口：设置为静态IP，地址与NX54的LAN网段在同一网段（例如，如果NX54的LAN口IP是192.168.1.1/24，那么MSR830的WAN口可以设为192.168.1.2/24，网关指向192.168.1.1）。
MSR830 LAN口：创建一个新的、独立的网段给NAS使用（例如192.168.10.1/24）。这样做可以实现更好的隔离。
NAS服务器：手动设置静态IP，地址属于MSR830创建的新网段（例如192.168.10.10/24），网关指向MSR830的LAN口IP（192.168.10.1）。
MSR830 防火墙规则配置步骤（命令行CLI）
请通过Console线或Telnet/SSH登录到MSR830的命令行界面，并进入系统视图（输入system-view）。
步骤一：配置接口IP地址和路由
# 配置WAN口IP地址（连接NX54）
interface GigabitEthernet0/0
description TO_NX54
ip address 192.168.1.2 255.255.255.0
# 配置默认路由，将所有去往互联网的流量指向NX54
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
quit

# 配置LAN口IP地址（连接NAS）
interface GigabitEthernet0/1
description TO_NAS
ip address 192.168.10.1 255.255.255.0
quit
步骤二：配置基础安全策略（关键步骤）
这是实现您需求的核心。我们要创建一个“域间策略”，允许从外网（Untrust域）访问内网（Trust域）的特定服务端口，同时默认禁止所有其他访问。
1. 创建高级ACL（访问控制列表），定义要放行的端口
假设您的NAS需要被外网访问的服务是：
HTTP/HTTPS管理界面（端口 80, 443）
文件共享服务（如SMB的端口445，FTP的端口21，或自定义的端口5000）
请根据您的实际需求修改下面的端口号。
# 创建一条高级ACL，编号为3000
acl advanced 3000
# 规则1：允许访问NAS的HTTP服务（80端口）
rule 5 permit tcp destination-port eq www
# 规则2：允许访问NAS的HTTPS服务（443端口）
rule 10 permit tcp destination-port eq 443
# 规则3：允许访问NAS的自定义端口，例如5000（请替换为您的实际端口）
rule 15 permit tcp destination-port eq 5000
# 规则100：显式拒绝所有其他IP流量（默认存在，但显式写明更清晰）
rule 100 deny ip
quit
2. 创建安全域（Security Zone）并绑定接口
这是H3C“域间安全策略”的基础。
# 创建名为Untrust的不信任域（通常对应WAN口、互联网侧）
security-zone name Untrust
import interface GigabitEthernet0/0
quit

# 创建名为Trust的信任域（通常对应LAN口、内网侧）
security-zone name Trust
import interface GigabitEthernet0/1
quit
3. 配置域间安全策略，应用ACL规则
这是防火墙策略生效的地方。我们配置从Untrust域到Trust域的策略。
# 创建一条从外网到内网的策略
zone-pair security source Untrust destination Trust

# 在此策略对中，应用我们之前创建的ACL 3000
packet-filter 3000

# 再创建一条从内网到外网的策略，并允许所有流量（保证NAS能正常上网）
zone-pair security source Trust destination Untrust
packet-filter pass-all
quit
步骤三：配置会话管理（可选但推荐）
会话管理功能可以增强安全性，例如限制单个IP的最大并发连接数，防止资源耗尽。
# 开启会话管理功能
session enable

# 为来自Untrust域的流量创建一条会话策略
session policy inbound zone Untrust
# 限制单个源IP的最大并发连接数为1000（可根据需要调整）
limit amount source-ip 1000
quit
最终效果与验证
完成以上配置后，您的网络将实现：
精确放行：互联网上的设备只能通过您指定的端口（如80, 443, 5000）访问到您的NAS，其他所有端口的访问请求都会被MSR830拦截。
默认拒绝：由于ACL 3000的最后一条规则是deny ip，并且没有其他允许规则，所以形成了“白名单”机制，非常安全。
内网无忧：公司内其他电脑仍然连接在NX54下，处于MSR830防火墙之外，完全不受此规则影响，安全性不变。
NAS安全：NAS本身暴露在互联网的端口被严格控制，安全风险大大降低。
验证方法：
在MSR830上使用 display session table source-ip <你的公网IP>命令，可以看到生效的连接会话。
使用手机热点等外部网络，尝试访问您的NAS的DDNS域名+端口，应该只有指定的端口能通，其他端口（如SSH的22端口）应该无法连接。
重要提醒：
保存配置：配置完成后，请在MSR830的用户视图下执行 save命令，否则重启后配置会丢失。
谨慎操作：在远程配置时，错误的安全策略可能导致您自己无法管理设备。如果可能，请在机房接上Console线进行操作。
这个方案在实现您需求的同时，最大限度地保障了安全性。如果您在配置过程中遇到任何问题，可以随时追问。